一、个人信息保护影响评估(PIA)简介
针对企业的个人信息的处理场景,结合《个人信息保护法》、《数据安全法》、《个人信息处理法律合规性评估指引》等相关法律法规的要求,开展个人信息安全合规评估咨询服务。
帮助企业落实《个人信息保护法》等法律法规规定的个人信息安全影响评估义务,对企业的个人信息收集、传输、存储、使用、提供、公开、跨境、委托处理等对个人权益有重大影响的个人信息处理活动进行全方位安全合规评估。协助企业识别各类风险,指导其采取对应的安全控制措施,增强处置风险的能力,持续修正安全控制措施有效性,确保风险可控。
二、个人信息保护影响评估(PIA)工作背景
2.1《中华人民共和国个人信息保护法》(2021年11月1日实施)
第五十五条
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
2.2 个人信息出境安全管理相关要求中关于PIA的要求:
《个人信息出境标准合同办法》 第五条
个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
《个人信息跨境处理活动安全认证规范》5.4
个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3年。评估报告应至少包括下列事项:
a) 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
b) 跨境处理个人信息的规模、范围、类型、敏感程度、频率,个人信息跨境处理可能对个人信息权益带来的风险;
c) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全;
d) 个人信息跨境处理存在的泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
e) 境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响……
2.3 其它法律法规标准文件和监管活动等对于PIA的相关要求:
2020年2月,中国人民银行正式发布了《个人金融信息保护技术规范》(JR/T 0171—2020),其中明确指出,金融业机构应建立个人金融信息保护制度体系,其中包括建立个人金融信息安全影响评估制度。明确金融机构个人金融信息保护责任部门和责任人,负责搭建个人金融信息安全管理制度体系,监督本机构内外部信息安全管理,组织开展内部审计、信息安全影响评估。
2021年9月,教育部办公厅等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》(教监管厅〔2021〕2号),通知中提出,教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
中国网络安全产业联盟(CCIA)由积极投身于网络安全产业发展,开展网络安全理论研究、技术研发、产品研制、测评认证、教育培训、安全服务等相关业务的企事业单位以及用户单位自愿组成,属于全国性非营利行业组织。接受中央网信办网络安全协调局业务指导和监督管理,秘书处设在中国电子技术标准化研究院。
2022年3月,为回应企业推进个人信息保护影响评估在细分操作指引、协调落地执行、认定评估效力等方面的问题,切实推进个人信息保护影响评估制度发挥实效,中国电子技术标准化研究院集合国内法律、技术、标准方面的专家,对标《个人信息保护法》中具体评估场景,参照GB/T 39335,更新国内外监管动态和要求,归纳优秀实践经验,编制个人信息保护影响评估常用工具表。
深圳市安证企业合规管理(集团)有限公司作为中国电子技术标准化研究院中国网络安全产业联盟(CCIA)的成员和合作伙伴,以专业能力和卓越品牌影响力成为个人信息保护影响评估(PIA)专项的权威第三方评估机构。
三、个人信息保护影响评估(PIA)实施
3.1 个人信息保护影响评估业务场景与产品
(1)处理敏感个人信息的业务
- 涉及生物识别信息处理:人脸、指纹、基因等敏感个人信息处理的业务系统或产品;
- 涉及金融帐户信息处理:银行卡、支付、证券、保险、个人财产信息、借贷信息等;
- 涉及健康信息处理:个人电子病例、医保信息、个人临床用药、个人医学影像、个人生理和心里健康状况;
- 涉及行踪轨迹信息处理:个人所处地理位置、活动地点和活动轨迹等。包括行程住宿信息、网约车车辆轨迹信息(网约车);
- 涉及未成年人个人信息处理:不满14周岁未成年人的个人信息。包括但不限于:未成年人的手机、身份证号、姓名、年龄、设备信息、个人上网记录;
(2)利用个人信息进行自动化决策算法的业务
- 新闻、短视频、直播等内容算法推荐;电商平台产品与价格算法推荐;
- 教育与游戏应用涉及的未成年人内容算法推荐;
- 网约车与派件类应用算法调度;
- 具有舆论属性和社会动员能力的互联网应用等等;
(3)委托处理个人信息、向其他个人信息处理者提供个人信息、 公开个人信息的业务
- 委托其他主体机构帮助处理个人信息涉及的业务系统;
- 将个人信息提供给其他个人信息处理主体的业务情形;
(4)向境外提供个人信息的业务
- 个人信息数据出境业务;
- 提供给境外查询、调阅境内个人信息服务的业务。
3.2 个人信息保护影响评估服务内容
(1)个人信息保护影响评估
- 开展个人信息安全与法律合规综合评估;
- 协助对个人信息安全合规风险整改;
- 提供中国电子技术标准研究院和安证联合盖章的评估报告;
(2)颁发PIA合规标识认证
- 提供个人信息保护影响评估(PIA)合规标识;
- 通过CCIA、DSC和安证云平台对外颁布PIA合规标识认证;
(3)提供评估安全合规结果固证
- 针对个人信息保护影响评估过程和结果的哈希值存证,生成固证证书;
- 在安证云平台上提供合规结果固证查询;
(4)提供全年数据合规情报服务
- 定期(每周、每月)提供国内外数据安全和个人信息保护相关法律政策;
- 重点保障期间提供相关监管合规检查信息。
3.3 个人信息保护影响评估实施流程
(1)信息调研(1周)
- 确定业务场景
- 确定对象及范围
- 制定实施方案
(2)现场评估(1周)
- 数据映射分析
- 风险源识别分析
- 个人信息合规风险评估
- 个人信息安全风险评估
(3)风险处置(1周)
- 协助处置监管红线;
- 优化安全合规风险;
(4)评估报告(1周)
- 出具中国电子技术标准研究院与安证联合盖章报告
(5)认证标识(2周)
- PIA合规材料审核
- 提供PIA合规标识
- 发布PIA合规标识
四、个人信息保护影响评估(PIA)安全合规认证标识
企业参与评估的业务场景与产品相关合规展示界面、隐私政策、个人信息保护影响评估报告中使用“PIA标识(一星级)”和“PIA标识(二星级)”,PIA标识(三星级)应在二星级基础上获取,并通过PIA专题工作发起方“中国网络安全产业联盟(CCIA)数据安全工作委员会”、“数据安全共同体计划(DSC)”公众号等专门页面进行公示并可以在安证云存证平台上固证和查询合规记录。
五、个人信息保护影响评估(PIA)评估工作价值
(1)履行法律义务
满足国家法律法规的强制性要求。
(2)落实行业监管
落实行业主管的监管合规要求。
(3)树立合规品牌
向监管机构、合作伙伴和用户等证明企业的数据安全合规能力。
(4)识别安全风险
识别业务、产品和新技术新应用存在的安全合规风险。
(5)促进数据应用
评估降低风险,促进数据的分享和应用,创造数据价值。
